De FBI heeft een waarschuwing afgegeven voor actief misbruik van drie bekende kwetsbaarheden in FortiOS, het besturingssysteem dat in de netwerkoplossingen van fabrikant Fortinet wordt gebruikt, zoals firewalls en vpn-systemen. Het gaat om CVE-2018-13379, CVE-2019-5591 en CVE-2020-12812.
Hackers maken gebruik van kwetsbaarheden
Volgens de FBI maken meerdere Advanced Persistent Threat (APT)-groepen gebruik van de kwetsbaarheden om toegang tot de netwerken van overheden en bedrijven te krijgen om vervolgens data te stelen of ransomware-aanvallen uit te voeren. De FBI zag vorige maand deze groepen scans op poorten 4443, 8443 en 10443 uitvoeren, om zo kwetsbare Fortinet-apparaten te vinden.
Kwetsbaarheid FortiOS SSL VPN webportal
CVE-2018-13379 is een kwetsbaarheid in de FortiOS SSL VPN webportal. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact beoordeeld met een 9,8. Door middel van path traversal kan een ongeauthenticeerde aanvaller FortiOS-systeembestanden downloaden. Op deze manier kan een aanvaller de inloggegevens van ingelogde vpn-gebruikers bemachtigen. Exploits die misbruik van het beveiligingslek maken zijn al ruim een jaar beschikbaar. Fortinet bracht op 24 mei 2019 een beveiligingsupdate voor het lek uit.
Beveiligingslek in FortiOS
CVE-2019-5591 is een beveiligingslek in FortiOS waardoor een ongeauthenticeerde aanvaller op hetzelfde subnet gevoelige informatie kan onderscheppen door zich voor te doen als de LDAP-server. De impact van deze kwetsbaarheid is beoordeeld met een 7,5. Voor dit beveiligingslek is sinds 26 juli 2019 een beveiligingsupdate beschikbaar.
Tweefactorauthenticatie omzeilen
Vorig jaar juli kwam Fortinet met een patch voor de derde kwetsbaarheid, CVE-2020-12812. Via dit beveiligingslek kan een aanvaller inloggen zonder dat een tweede factor moet worden opgegeven, ook al staat dit wel ingeschakeld. Dit probleem doet zich voor wanneer tweefactorauthenticatie staat ingeschakeld in de "user local" setting en er een remote authenticatiemethode voor deze gebruiker staat geconfigureerd. Door het wijzigen van de gebruikersnaam kan een aanvaller dan de tweefactorauthenticatie omzeilen. Deze kwetsbaarheid heeft een impactscore van 9,8.
Meteen patchen
Aangezien beveiligingsupdates voor de genoemde kwetsbaarheden al geruime tijd beschikbaar zijn, adviseert de FBI om de patches meteen te installeren. Verder wordt een reeks van algemene beveiligingsadviezen gegeven om de beveiliging van systemen te verbeteren.
"Door illegaal te knoeien heeft de verdachte de veiligheid en gezondheid van de gemeenschap in gevaar gebracht"
Het Amerikaanse ministerie van Justitie verdenkt een 22-jarige man uit Kansas voor het saboteren van een publieke drinkwatervoorziening. Door het computernetwerk van het drinkwaterbedrijf binnen te dringen, bracht hij de veiligheid en gezondheid van de gemeenschap in gevaar. Als hij schuldig wordt bevonden, kan hij tot twintig jaar gevangenisstraf krijgen.
Hackers plaatsten achterdeur in 'Hypertext Preprocessor' (PHP)
Hackers zijn erin geslaagd om een backdoor te plaatsen in de officiële Git-repository van programmeertaal PHP. Ze voerden twee commando’s in die zich voordeden als kleine aanpassingen. In werkelijkheid konden ze door deze wijzigingen een 'remote code execution' uitvoeren. Daarmee is het mogelijk om websites die op PHP draaien aan te vallen. Het lek werd op tijd ontdekt en gedicht, zodat er geen websites die op PHP-draaien de dupe zijn van de backdoor.
Politie slaagt opnieuw erin om aanbieder van cryptografische versleuteldienst te kraken
De politie is opnieuw erin geslaagd om een aanbieder van een cryptografische versleuteldienst te kraken. Ditmaal gaat het om 'Sky ECC'. Naast Belgische opsporings- en handhavingsdiensten zouden ook Nederlandse overheidsinstanties betrokken zijn geweest bij het kraken van de dienst.
Noodinstructies afgegeven voor meerdere kritieke kwetsbaarheden in Microsoft Exchange!
Het 'Cybersecurity and Infrastructure Security Agency' (CISA) van het Amerikaanse ministerie van 'Homeland Security' heeft noodinstructies afgegeven voor meerdere kritieke kwetsbaarheden in Microsoft Exchange. Federale overheidsinstanties in de VS moeten de instructies voor morgenmiddag hebben uitgevoerd.
Niet alle 'Virtual Private Networks' zijn veilig
De persoonsgegevens van 21 miljoen gebruikers van SuperVPN, GeckoVPN en ChatVPN zijn buitgemaakt door een hacker. Hij biedt hun gegevens te koop aan op een populair forum voor hackers. Een klein deel van de gestolen gegevens was al opgenomen in de database van Have I Been Pwned.
"Credential stuffing zal een bedreiging vormen zolang we van gebruikers eisen dat ze zich online bij accounts aanmelden"
Het aantal jaarlijkse incidenten met inloggegevens is tussen 2016 en 2020 bijna verdubbeld. In dezelfde periode daalde echter de totale hoeveelheid aan gelekte data met 46 procent. Dit blijkt uit het nieuwste Credential Stuffing Report van 'F5'. De gemiddelde omvang van een datalek is ook afgenomen, van 63 miljoen records in 2016 tot 17 miljoen vorig jaar.